Sommaire

Analyse dynamique Analyse:dynamique

1. Présentation

Contrairement à l’analyse statique, l’analyse dynamique consiste à étudier les actions du binaire pendant qu’il est train de s’exécuter. Il est important de noter que dans ce cas, le binaire est réellement exécuté et que la machine sur laquelle il est exécuté sera infectée par le malware en cours d’analyse. Il est donc primordial de travailler dans une machine virtuelle.

Pour réaliser une analyse dynamique, l’analyste a besoin d’un débogueur. Un débogueur permet d’exécuter un binaire instruction après instruction, il permet également de placer des points d’arrêt (ou breakpoints) afin de stopper l’exécution du binaire et consulter son état. Dans cette section, nous utiliserons deux débogueurs : Immunity Debuggeret WinDbg.

2. Immunity Debugger Immunity Debugger

a. Présentation

Immunity Debugger est un débogueur 32 bits pour Windows. Il est gratuitement téléchargeable à l’adresse suivante : http://www.immunityinc.com/products/debugger/. Ce débogueur permet de suivre facilement l’exécution d’un programme sous Windows. Il permet de voir les instructions exécutées, l’état de la mémoire et des registres. Il permet également de placer des points d’arrêt à des instructions particulières, ...